OPNsense/Web-Proxy: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
VisuellWikitext
Die Seite wurde neu angelegt: „; Wenn Webaufrufe nur über den Proxy möglich sind, können diese via Port 80 (http) und 443 (https) gefiltert werden. * URL-Filter squidGuard * Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wird dieser im transparenten Modus betrieben. ** Somit sind an den Clients keinerlei Einstellungen zu tätigen bzw. zu verteilen. ; Damit auch verschlüsselte https-Anfragen datenschutzkonform - also ohne das Aufbrechen von Zert…“
 
K Textersetzung - „bzw.  “ durch „bzw. “
 
(4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
; Wenn Webaufrufe nur über den Proxy möglich sind, können diese via Port 80 (http) und 443 (https) gefiltert werden.
* URL-Filter squidGuard
* Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wird dieser im transparenten Modus betrieben.
** Somit sind an den Clients keinerlei Einstellungen zu tätigen bzw. zu verteilen.
; Damit auch verschlüsselte https-Anfragen datenschutzkonform - also ohne das Aufbrechen von Zertifikaten - über den transparenten Proxy abgewickelt werden können, verwendet das Schulnetzkonzept die Möglichkeit der Filterung über SNI (Server Name Indication):
* Bevor ein Browser eine verschlüsselte Verbindung zu einem Webserver aufbaut, sendet er diesem den gewünschten Host (FQDN) unverschlüsselt.
* Diese Information kann vom transparentem Proxy ausgelesen und für die Filterung genutzt werden.
; Folgende Anpassungen an den Default-Einstellungen sind zu tätigen:
: Services / Web Proxy / Administration
* General Proxy Settings
** Haken bei: Enable Proxy
** Haken bei: Enable DNS v4 first
** Enable access logging: Hier können Sie bei Bedarf den Zugriff auf den Proxy-Server mitloggen.
* Local Cache Settings.
** Haken bei Enable local cache
** Cache size in Megabytes: 10240
** Haken bei: Enable Windows Update Cache
*** Speichert Windows-Updates aus dem Internet zwischen und stellt sie für weitere Windows-Clients im Netzwerk bereit.
*** Verringert die Belastung der Internet-Leitung durch Windows-Updates erheblich, ohne einen WSUS-Server für Windows-Updates zu verwenden.
* General Forward Settings
** Proxy Interfaces: LAN_CLIENTS
** Proxy Port: 3128
** Haken bei: Enable Transparent HTTP Proxy
** Haken bei: Enable SSL inspection
** Haken bei: Log SNI information only
** SSL Proxy Port: 3129
** CA to use: z. B.: schulnetz.intra-ca
*** Sofern Sie noch keine Zertifizierungsstelle für Zertifikate (CA) angelegt haben, holen Sie dies mit folgenden Schritten nach:
*** System / Trust / Authorities → Add
**** Descriptive name: z. B. schulnetz.intra-ca
**** Method: Create an internal Certificate Authority
**** Entsprechende Angaben bei: Country Code, State, City, Organization und Email Address
[[Kategorie:OPNsense:Dienste]]
= Web-Proxy =
= Web-Proxy =
== Alias für Umgehung des Proxys anlegen ==
== Alias für Umgehung des Proxys anlegen ==
Zeile 44: Zeile 4:


;Firewall / Aliases → Add
;Firewall / Aliases → Add
* Name: z. B. BYPASS_Firewall_Proxy  
* Name: z. B. BYPASS_Firewall_Proxy  
* Type: wählen Sie hier...  
* Type: wählen Sie hier...  
** Host(s) zur Angabe einer oder mehrerer IP-Adressen  
** Host(s) zur Angabe einer oder mehrerer IP-Adressen  
Zeile 65: Zeile 25:
#* Redirect target IP: Single host or Network: 127.0.0.1  
#* Redirect target IP: Single host or Network: 127.0.0.1  
#* Redirect target Port: 3128  
#* Redirect target Port: 3128  
#* Description: z. B.: Redirect http-traffic to Proxy  
#* Description: z. B. : Redirect http-traffic to Proxy  
# Regel
# Regel
#* Interface: LAN_CLIENTS  
#* Interface: LAN_CLIENTS  
Zeile 77: Zeile 37:
#* Redirect target IP: Single host or Network: 127.0.0.1  
#* Redirect target IP: Single host or Network: 127.0.0.1  
#* Redirect target Port: 3129  
#* Redirect target Port: 3129  
#* Description: z. B.: Redirect https-traffic to Proxy  
#* Description: z. B. : Redirect https-traffic to Proxy  
 
== TMP ==
; Wenn Webaufrufe nur über den Proxy möglich sind, können diese via Port 80 (http) und 443 (https) gefiltert werden.
* URL-Filter squidGuard
* Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wird dieser im transparenten Modus betrieben.
** Somit sind an den Clients keinerlei Einstellungen zu tätigen bzw. zu verteilen.
 
; Damit auch verschlüsselte https-Anfragen datenschutzkonform - also ohne das Aufbrechen von Zertifikaten - über den transparenten Proxy abgewickelt werden können, verwendet das Schulnetzkonzept die Möglichkeit der Filterung über SNI (Server Name Indication):
* Bevor ein Browser eine verschlüsselte Verbindung zu einem Webserver aufbaut, sendet er diesem den gewünschten Host (FQDN) unverschlüsselt.
* Diese Information kann vom transparentem Proxy ausgelesen und für die Filterung genutzt werden.
 
; Folgende Anpassungen an den Default-Einstellungen sind zu tätigen:
: Services / Web Proxy / Administration
* General Proxy Settings
** Haken bei: Enable Proxy
** Haken bei: Enable DNS v4 first
** Enable access logging: Hier können Sie bei Bedarf den Zugriff auf den Proxy-Server mitloggen.
* Local Cache Settings.
** Haken bei Enable local cache
** Cache size in Megabytes: 10240
** Haken bei: Enable Windows Update Cache
*** Speichert Windows-Updates aus dem Internet zwischen und stellt sie für weitere Windows-Clients im Netzwerk bereit.
*** Verringert die Belastung der Internet-Leitung durch Windows-Updates erheblich, ohne einen WSUS-Server für Windows-Updates zu verwenden.
* General Forward Settings
** Proxy Interfaces: LAN_CLIENTS
** Proxy Port: 3128
** Haken bei: Enable Transparent HTTP Proxy
** Haken bei: Enable SSL inspection
** Haken bei: Log SNI information only
** SSL Proxy Port: 3129
** CA to use: z. B. : schulnetz.intra-ca
*** Sofern Sie noch keine Zertifizierungsstelle für Zertifikate (CA) angelegt haben, holen Sie dies mit folgenden Schritten nach:
*** System / Trust / Authorities → Add
**** Descriptive name: z. B. schulnetz.intra-ca
**** Method: Create an internal Certificate Authority
**** Entsprechende Angaben bei: Country Code, State, City, Organization und Email Address


[[Kategorie:OPNsense/Proxy]]
[[Kategorie:OPNsense/Proxy]]

Aktuelle Version vom 28. Mai 2023, 22:12 Uhr

Web-Proxy

Alias für Umgehung des Proxys anlegen

Sofern es in Ihrem Netzwerk Clients geben soll, die von der Proxy-Filterung ausgenommen werden sollen, legen Sie hierfür zunächst einen Alias an:

Firewall / Aliases → Add
  • Name: z. B. BYPASS_Firewall_Proxy
  • Type: wählen Sie hier...
    • Host(s) zur Angabe einer oder mehrerer IP-Adressen
    • Network(s) zur Angabe einer oder mehrere IP-Segmente
  • Description: aussagekräftige Beschreibung

Weiterleitung von Web-Anfragen an den Proxy

Die beiden Haupt-Ports für Internetseitenaufrufe werden an den Proxy weitergeleitet:

Firewall / NAT / Port Forward
  1. Regel
    • Interface: LAN_CLIENTS
    • TCP/IP Version: IPv4
    • Protocol: TCP
    • Source / Invert: Haken
    • Source: BYPASS_Firewall_ProxyDie Quelle für Proxy-Weiterleitung sind somit alle Clients außer jene, welche Sie beim Alias BYPASS_Firewall_Proxy hinterlegt haben.
    • Destination / Invert: Haken
    • Destination: LAN_MANAGEMENT_SERVERDie Weiterleitung erfolgt nur für Ziele außerhalb der Netze LAN_MANAGEMENT und LAN_SERVER. Da die Firewall zunächst die NAT-Regeln abarbeitet, wird hiermit sichergestellt, dass ggf. bei den Interfaces-Regeln geblockte Anfragen an diese beiden Netze nicht über den Proxy umgangen werden.
    • Destination Port Range: from: HTTP to: HTTP
    • Redirect target IP: Single host or Network: 127.0.0.1
    • Redirect target Port: 3128
    • Description: z. B. : Redirect http-traffic to Proxy
  2. Regel
    • Interface: LAN_CLIENTS
    • TCP/IP Version: IPv4
    • Protocol: TCP
    • Source / Invert: Haken
    • Source: BYPASS_Firewall_ProxyDie Quelle für Proxy-Weiterleitung sind somit alle Clients außer jene, welche Sie beim Alias BYPASS_Firewall_Proxy hinterlegt haben.
    • Destination / Invert: Haken
    • Destination: LAN_MANAGEMENT_SERVERDie Weiterleitung erfolgt nur für Ziele außerhalb der Netze LAN_MANAGEMENT und LAN_SERVER. Da die Firewall zunächst die NAT-Regeln abarbeitet, wird hiermit sichergestellt, dass ggf. bei den Interfaces-Regeln geblockte Anfragen an diese beiden Netze nicht über den Proxy umgangen werden.
    • Destination Port Range: from: HTTPS to: HTTPS
    • Redirect target IP: Single host or Network: 127.0.0.1
    • Redirect target Port: 3129
    • Description: z. B. : Redirect https-traffic to Proxy

TMP

Wenn Webaufrufe nur über den Proxy möglich sind, können diese via Port 80 (http) und 443 (https) gefiltert werden.
  • URL-Filter squidGuard
  • Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wird dieser im transparenten Modus betrieben.
    • Somit sind an den Clients keinerlei Einstellungen zu tätigen bzw. zu verteilen.
Damit auch verschlüsselte https-Anfragen datenschutzkonform - also ohne das Aufbrechen von Zertifikaten - über den transparenten Proxy abgewickelt werden können, verwendet das Schulnetzkonzept die Möglichkeit der Filterung über SNI (Server Name Indication)
  • Bevor ein Browser eine verschlüsselte Verbindung zu einem Webserver aufbaut, sendet er diesem den gewünschten Host (FQDN) unverschlüsselt.
  • Diese Information kann vom transparentem Proxy ausgelesen und für die Filterung genutzt werden.
Folgende Anpassungen an den Default-Einstellungen sind zu tätigen
Services / Web Proxy / Administration
  • General Proxy Settings
    • Haken bei: Enable Proxy
    • Haken bei: Enable DNS v4 first
    • Enable access logging: Hier können Sie bei Bedarf den Zugriff auf den Proxy-Server mitloggen.
  • Local Cache Settings.
    • Haken bei Enable local cache
    • Cache size in Megabytes: 10240
    • Haken bei: Enable Windows Update Cache
      • Speichert Windows-Updates aus dem Internet zwischen und stellt sie für weitere Windows-Clients im Netzwerk bereit.
      • Verringert die Belastung der Internet-Leitung durch Windows-Updates erheblich, ohne einen WSUS-Server für Windows-Updates zu verwenden.
  • General Forward Settings
    • Proxy Interfaces: LAN_CLIENTS
    • Proxy Port: 3128
    • Haken bei: Enable Transparent HTTP Proxy
    • Haken bei: Enable SSL inspection
    • Haken bei: Log SNI information only
    • SSL Proxy Port: 3129
    • CA to use: z. B. : schulnetz.intra-ca
      • Sofern Sie noch keine Zertifizierungsstelle für Zertifikate (CA) angelegt haben, holen Sie dies mit folgenden Schritten nach:
      • System / Trust / Authorities → Add
        • Descriptive name: z. B. schulnetz.intra-ca
        • Method: Create an internal Certificate Authority
        • Entsprechende Angaben bei: Country Code, State, City, Organization und Email Address
Abgerufen von „https://wiki.foxtom.de/index.php?title=OPNsense/Web-Proxy&oldid=71724